Zertifikatserneuerung mit linuxmuster-dehydrated scheitert

Server Firewall
1

Hallo zusammen,

ich versuche gerade die Zertfikate mit linuxmuster-dehydrated zu erneuern. Bisher habe ich dazu certbot verwendet, aber damit gab’s vor drei Monaten auch Probleme (veraltete Version etc, Umstellung auf http-01-Challenge etc), aber nachdem ich auf http01-Challenge umgestellt habe, von Belwue Port 80 habe öffnen lassen und eine Firewallregel ( wie hier [http://docs.linuxmuster.net/de/latest/systemadministration/network/dehydrated/] zum Durchlassen von Port 80 erstellt hatte, ging’s.

Im Moment aber tut sich nichts. Die Fehlermeldung „likely firewall problem“ brachte mich dazu, mal nachzuschauen:

telnet localhost 80
Trying 127.0.0.1…
Connected to localhost.localdomain.
Escape character is ‚^]‘.
Connection closed by foreign host.

ein

telnet service.copernicus-gymnasium.de 80

liefert nix.

nmap -v -A localhost (auf dem server) zeigt:
Discovered open port 80/tcp on 127.0.0.1

Aber ein

nmap -p 80 service.copernicus-gymnasium.de

von außerhalb bringt

Starting Nmap 7.60 ( https://nmap.org ) at 2019-07-13 17:14 CEST
Nmap scan report for service.copernicus-gymnasium.de (141.10.91.226)
Host is up (0.040s latency).
PORT STATE SERVICE
80/tcp filtered http
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds

D.h. für mich, dass der Port 80 offen ist, aber wahrscheinlich vom ipfire noch irgendwie blockiert wird?
Seltsam ist, dass es mit den oben erwähnten Maßnahmen (Firewall-regel etc) ja beim letzten Mal ging. Habe die entsprechenden Regel mal gelöscht und wieder neu angelegt.
Am Ipfire habe ich in der Zwischenzeit nur ein Update auf Core 122 gemacht…
Ich steh echt auf dem Schlauch im Moment.

Danke fürs Mitdenken

Viele Grüße

ch

2

Hallo,
Schau doch mal im Web Interface des IP fire nach, ob Port 80 von außen offen ist.
Liebe Grüße Christoph Günschmann

3

Hi,

Hallo,
Schau doch mal im Web Interface des IP fire nach, ob Port 80 von außen offen ist.

sorry, dass ich erst jetzt anworte. Bin auf Exkursion und da ist schwierig mit der Kommunikation.
Wo im Ipfire kann ich das rausfinden??
Im Webproxy steht port 80 auf jeden Fall mal bei den „zulässigen Standardports“, wenn das was bedeutet.
Habe aus der Ferne eben mal nen anderen porscanner laufen lassen und der kam zu dem Ergebnis, dass port 80 zu sei. Belwue hat mir den aber wie gesagt im April geöffnet. Vllt. sollte ich dort auch noch mal nachfragen…

Viele Grüße

ch

4

Hallo Chris,

das ist von innen nach außen. Was du brauchst, ist der umgekehrte Weg, damit der Bot auf deinen Server zugreifen kann. Dazu eine Firewallregel anlegen.

Grüße,
Sven

5

Hallo Sven,

danke für den Hinweis.

ich habe diese Regel gemäß der Vorlage hier bereits bei der letzten Runde der Zertifikatserneuerung angelegt.
Das führte leider nicht zum Erfolg.

Viele Grüße

ch

6

Hallo zusammen,

eine Nachfrage bei Belwue brachte ans Licht, dass Port 80 dort wieder zu war, entgegen einer anders lautenden Mail vom April. Da kann ich ja lange suchen…:rage:
Egal, jetzt ging’s.

Danke für Mitdenken

Viele Grüße

ch